arrow_back

Windows の踏み台インスタンスを使用したセキュアな RDP の構成: チャレンジラボ

ログイン 参加
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Windows の踏み台インスタンスを使用したセキュアな RDP の構成: チャレンジラボ

Lab 1時間 universal_currency_alt クレジット: 5 show_chart 中級
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP303

Google Cloud セルフペース ラボ

概要

チャレンジラボでは、シナリオと一連のタスクが提供されます。手順ガイドに沿って進める形式ではなく、コース内のラボで習得したスキルを駆使して、ご自身でタスクを完了していただきます。タスクが適切に完了したかどうかは、このページに表示される自動スコアリング システムで確認できます。

チャレンジラボは、Google Cloud の新しいコンセプトについて学習するためのものではありません。デフォルト値を変更する、エラー メッセージを読み調査を行ってミスを修正するなど、習得したスキルを応用する能力が求められます。

100% のスコアを達成するには、制限時間内に全タスクを完了する必要があります。

このラボは、Google Cloud Certified Professional Cloud Architect 認定試験に向けて準備している受講者を対象としています。ぜひチャレンジしてください。

チャレンジ シナリオ

所属する会社で新しいクラウド アプリケーション サービスをデプロイすることになり、デプロイ対象の Windows サービスを管理するためのセキュアなフレームワークの開発をあなたが担当することになりました。セキュアな本番環境用 Windows サーバーを実現するために、新しい VPC ネットワーク環境を構築する必要があります。

最初は本番環境用サーバーをすべて外部ネットワークから完全に隔離し、インターネットからの直接アクセスもインターネットへの直接接続もできない環境にする必要があります。この環境で最初のサーバーを構成して管理するためには、Microsoft リモート デスクトップ プロトコル(RDP)を使用してインターネットからアクセスできる踏み台インスタンス(ジャンプ ボックス)をデプロイしておく必要もあります。インターネットから踏み台インスタンスへのアクセスと、VPC ネットワーク内での踏み台インスタンスと他の Compute インスタンスとの通信は、RDP を使用した場合にのみ可能になるようにします。

あなたの会社にはデフォルト VPC ネットワークから実行されるモニタリング システムもあるため、デフォルト VPC ネットワークへの内部接続のみ可能な第 2 のネットワーク インターフェースがすべての Compute インスタンスで必要になります。

チャレンジ

外部通信向けに構成されていないセキュアな Windows マシンを新しい VPC サブネット内にデプロイし、そのマシンに Microsoft Internet Information Server をデプロイします。このラボでは、すべてのリソースを次のリージョンとゾーンにプロビジョニングする必要があります。

  • リージョン:
  • ゾーン:

タスク

主なタスクは次のとおりです。がんばってください。

  • 単一のサブネットを備えた新しい VPC ネットワークを作成する。
  • 踏み台インスタンス システムへの外部 RDP トラフィックを許可するファイアウォール ルールを作成する。
  • VPC ネットワークとデフォルト ネットワークの両方に接続した 2 台の Windows サーバーをデプロイする。
  • 起動スクリプトを参照する仮想マシンを作成する。
  • 仮想マシンへの HTTP アクセスを許可するファイアウォール ルールを構成する。

タスク 1. VPC ネットワークを作成する

  1. securenetwork という新しい VPC ネットワークを作成します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。VPC ネットワークを作成する

  1. リージョンの securenetwork 内に新しい VPC サブネットを作成します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。VPC サブネットを作成する

  1. ネットワークとサブネットを構成したら、インターネットから踏み台インスタンスへのインバウンド RDP トラフィック(TCP ポート 3389)を許可するファイアウォール ルールを設定します。このルールは、ネットワーク タグを使用して適切なホストに適用する必要があります。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。ファイアウォール ルールを作成する

タスク 2. Windows インスタンスをデプロイしてユーザー パスワードを設定する

  1. 2 つのネットワーク インターフェースを持つ vm-securehost という Windows Server 2016(デスクトップ エクスペリエンス搭載サーバー)インスタンスを ゾーンにデプロイします。
    • 新たに作成された VPC サブネットへの内部接続のみ可能な第 1 のネットワーク インターフェースを構成します。
    • デフォルト VPC ネットワークへの内部接続のみ可能な第 2 のネットワーク インターフェースを構成します。これがセキュアなサーバーです。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。vm-securehost インスタンスを作成する

  1. 2 つのネットワーク インターフェースを持つ vm-bastionhost という Windows Server 2016(デスクトップ エクスペリエンス搭載サーバー)インスタンスを ゾーンにデプロイします。
    • 新たに作成された、エフェメラル パブリック(外部 NAT)アドレスを備えた VPC サブネットに接続する第 1 のネットワーク インターフェースを構成します。
    • デフォルト VPC ネットワークへの内部接続のみ可能な第 2 のネットワーク インターフェースを構成します。これがジャンプ ボックス、つまり踏み台インスタンスです。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。vm-bastionhost インスタンスを作成する

パスワードを設定する

  1. Windows インスタンスを作成したら、各インスタンスに接続するためにユーザー アカウントを作成し、Windows のパスワードを再設定します。
注: 後で使用できるように、両方のインスタンスのユーザー名とパスワードをコピーしておきます。
  1. 次の gcloud コマンドは、app-admin という新しいユーザーを作成し、 ゾーンにある vm-bastionhost というホストのパスワードを再設定するものです。
gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  1. 次の gcloud コマンドは、app-admin という新しいユーザーを作成し、 ゾーンにある vm-securehost というホストのパスワードを再設定するものです。
gcloud compute reset-windows-password vm-securehost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  • または、Compute Engine コンソールからパスワードを強制的に再設定することもできます。インスタンス間でログイン認証情報が異なるため、第 2 のホストでもこれを繰り返す必要があります。

タスク 3. セキュアなホストに接続し、Internet Information Server を構成する

  1. セキュアなホストに接続するには、まず RDP 経由で bastion host にアクセスします。Compute インスタンスの概要ページで Windows Compute インスタンスの横に表示される RDP ボタンを使用すれば、外部アドレスを持つ Windows Compute インスタンスに RDP 経由で接続できます。

  2. RDP セッションを使用して踏み台インスタンスに接続したら、bastion host の内部で新しい RDP セッションを開き、secure host の内部プライベート ネットワーク アドレスに接続します。

  3. Windows サーバーに接続すると、mstsc.exe コマンドを使用して Microsoft RDP クライアントを起動したり、スタート メニューから Remote Desktop Manager を検索したりすることができます。そのため、踏み台インスタンスから同じ VPC 上にある他の Compute インスタンスに、それらがインターネットに直接接続されていなくても接続できるようになります。

RDP 経由で vm-securehost マシンに接続したら、Internet Information Server を構成します。

  1. vm-securehost マシンにログインして、Server Management ウィンドウを開きます。Configure the local server で、[Add roles and features] を選択します。

  2. Role-based or feature-based installation を使用して、Web Server (IIS) ロールを追加します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。IIS ウェブサーバー ソフトウェアを構成する

トラブルシューティング

  • 踏み台インスタンスに接続できない: まず、踏み台インスタンスの外部アドレスに接続しようとしていることを確認してください。アドレスが正しい場合でも、インターネット(または自社システムのパブリック IP アドレス)から外部アドレスを持つ踏み台インスタンスのネットワーク インターフェースへの TCP ポート 3389(RDP)トラフィックを許可するよう、ファイアウォール ルールが適切に構成されていないと踏み台インスタンスに接続することはできません。また、自社ネットワークで RDP を介したインターネット アドレスへのアクセスを許可していなければ、RDP 経由での接続に問題が生じる可能性があります。他に問題がない場合は、インターネット接続に使用しているネットワークの所有者にポート 3389 を開くよう依頼するか、別のネットワークを使用して接続してください。
  • 踏み台インスタンスからセキュアなホストに接続できない: 踏み台インスタンスには正常に接続できるものの、Microsoft Remote Desktop Connection アプリケーションを使用した内部 RDP 接続が確立できない場合は、両方のインスタンスが同じ VPC ネットワークに接続されていることを確認してください。

お疲れさまでした

これで完了です。このラボでは、踏み台インスタンスと VPC ネットワークを使用して、セキュアな Windows サーバー環境を構成しました。また、仮想マシンへの HTTP アクセスを許可するファイアウォール ルールを構成し、セキュアなマシンに Microsoft Internet Information Server をデプロイしました。

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2024 年 2 月 9 日

ラボの最終テスト日: 2023 年 12 月 6 日

Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。